Una vulnerabilità zero-day che interessa tutte le versioni di Internet Explorer consente agli aggressori di eseguire un attacco di tipo clickjacking, al fine di rubare i cookie di sessione. L'attacco, soprannominato cookiejacking, è stato comunicato la scorsa settimana dal ricercatore di sicurezza indipendente italiano Rosario Valotta alla conferenza Hack in the Box 2011 ad Amsterdam e ulteriori informazioni sono state pubblicate sul suo blog Lunedi. Per la dimostrazione, Valotta ha sottratto le credenziali di accesso a Facebook, Gmail e Twitter. "Qualsiasi sito web. Qualsiasi cookie. Il limite è solo la vostra immaginazione", scrive sul blog. Non è semplice tirare fuori l'attacco e combina diverse tecniche tra cui social engineering, però, se fatto correttamente può risultare molto efficace. La tecnica sfrutta un bug nella gestione dei cookie da parte del browser Microsoft. La vulnerabilità interessa tutte le versioni di IE, tra cui Internet Explorer 9, su ogni versione del sistema operativo Windows. Ha costruito un puzzle che ha messo su Facebook in cui viene chiesto agli utenti di "spogliare" la foto di una donna attraente. Per sfruttare la falla, l'hacker deve convincere la vittima a trascinare un oggetto attraverso lo schermo del PC prima che il cookie possa essere dirottato.
Ciò appare come un compito difficile, ma Valotta ha detto che è in grado di farlo abbastanza facilmente. Per bypassare questo, l'attaccante ha la necessità di ingannare la vittima per farsi consegnare il contenuto dei cookie. Ciò implica la selezione del testo e incollarlo all'interno di un contenitore attaccante controllato (drag & drop). Ovviamente questo sarebbe molto sospetto, e gli attaccanti hanno bisogno di utilizzare tecniche di clickjacking per nascondere ciò che sta accadendo. La versione del sistema operativo deve essere anche determinata, perché i cookie vengono memorizzati in posizioni diverse sui diversi sistemi Windows. Questo può essere fatto analizzando l'oggetto navigator.userAgent. Poiché tutte le versioni di Internet Explorer su tutte le versioni di Windows sono colpite, Valotta avverte che il pool di potenziali vittime è enorme. Inoltre, non ci sono molte difese contro le tecniche di clickjacking in IE. Microsoft ha risposto dicendo che, a causa del livello di interazione, non si tratta di un problema ad alto rischio. Nonostante queste parole rassicuranti, è sempre meglio evitare di accettare richieste inviate dagli amici relative a giochi o applicazioni sospette e non usare Internet Explorer. L'azienda conta di risolvere il problema tra giugno e agosto.
Nessun commento:
Posta un commento